ENSC + Décret 26-07 : la filière cyber algérienne

Publié le juin 6, 2026 · par ALGERIATECH Editorial

⚡ Points Clés

La nouvelle École Nationale Supérieure de Cybersécurité (ENSC) à Sidi Abdellah et le décret présidentiel 26-07, publié au Journal officiel le 21 janvier 2026, sont conçus pour se rejoindre : l’ENSC forme les ingénieurs, et le décret 26-07 oblige chaque organisme public à créer une unité de cybersécurité dédiée rendant compte directement à la direction. L’ASSI met son infrastructure à disposition des étudiants, ce qui rend les diplômés opérationnels dès le premier jour.

En résumé: Les RSSI et DRH des organismes publics doivent réécrire dès maintenant les fiches de poste pour accueillir les diplômés de l’ENSC, sécuriser les conventions d’apprentissage avant la rentrée 2026–2027 et ouvrir une ligne de liaison avec l’ASSI dès la constitution de l’unité.

Lire l’analyse complète ↓

🧭 Radar de Décision

Pertinence pour l’Algérie
Élevé
▾

L’ENSC et le décret 26-07 définissent conjointement la manière dont chaque organisme public recrutera et structurera son équipe cybersécurité pour les cinq prochaines années — le sujet touche en même temps les ministères, les administrations de wilaya, les banques publiques, les hôpitaux, les opérateurs énergétiques et les universités.

Calendrier d’action
Immédiat
▾

Les recrutements publics pour les unités de cybersécurité s’ouvrent déjà ; les équipes RH doivent réécrire les fiches de poste et engager l’ENSC et les centres professionnels dans le cycle 2026–2027, pas plus tard.

Parties prenantes clés
RSSI publics, DRH, candidats à l’ENSC
▾

Assessment: RSSI publics, DRH, candidats à l’ENSC. Review the full article for detailed context and recommendations.

Type de décision
Stratégique
▾

Il s’agit d’une décision pluriannuelle d’architecture de main-d’œuvre — la manière dont un organisme public construit, structure et fidélise son équipe cybersécurité, pas un recrutement tactique ponctuel.

Niveau de priorité
Élevé
▾

Le décret 26-07 s’impose à toute institution publique ; l’unité doit exister et fonctionner, et l’offre passe par l’ENSC et la voie professionnelle — les premiers mouvements dotent l’unité proprement, les retardataires se disputent un vivier senior limité.

En bref: Les RSSI publics devraient traiter l’ENSC comme leur principal vivier d’ingénieurs et réécrire leurs fiches de poste pour accepter les diplômés de l’ENSC ou équivalents — puis sécuriser des conventions d’apprentissage multi-étudiants avant la clôture des inscriptions 2026–2027. Construisez deux échelles de carrière parallèles pour retenir les docteurs dans le secteur public, et ouvrez une ligne de liaison ASSI dès la constitution de l’unité, pas au premier incident.

Une école et un décret pensés pour se rejoindre

Deux pièces de l’architecture algérienne de cybersécurité se sont mises en place à quelques mois d’intervalle. La première est l’École Nationale Supérieure de Cybersécurité (ENSC), annoncée par décret présidentiel et implantée à Sidi Abdellah à Alger, placée sous la tutelle du ministère de l’Enseignement supérieur et de la Recherche scientifique, et opérant en partenariat avec l’Agence de la Sécurité des Systèmes d’Information (ASSI), qui met à disposition de ses étudiants ses ressources et son infrastructure. La seconde est le décret présidentiel n° 26-07, pris le 7 janvier 2026 et publié au Journal officiel le 21 janvier 2026, qui impose à chaque institution publique de constituer une unité de cybersécurité dédiée rendant compte directement à la direction et opérant séparément de la gestion technique informatique.

Lues ensemble, ces deux initiatives ne sont pas indépendantes. C’est une école et un cadre de recrutement calibrés l’un sur l’autre. Le décret crée la demande : des dizaines de ministères, agences, entreprises publiques, hôpitaux et universités ont désormais besoin d’une unité capable de cartographier les risques, de concevoir des plans de remédiation, d’assurer une surveillance et des audits continus, de signaler immédiatement les incidents et de coordonner la protection des données. L’ENSC crée l’offre : un établissement d’enseignement supérieur dont la mission, telle qu’inscrite dans le décret fondateur, est « la formation supérieure et la recherche en cybersécurité » et la formation d’ingénieurs et de docteurs spécialisés pour des fonctions opérationnelles ou académiques.

Le contexte de la menace renforce l’urgence. Selon le cadrage du rapport de TechAfrica News de janvier 2026 sur le dispositif algérien, l’architecture s’inscrit dans la stratégie numérique 2025–2030, l’ASSI sous tutelle du ministère de la Défense nationale étant chargée de mettre en œuvre la politique nationale de cybersécurité et de défendre les infrastructures critiques, et le Conseil national de la sécurité des systèmes d’information rendant compte à la présidence. Aux termes du décret présidentiel 20-05, tout système d’information de l’État doit déjà désigner un responsable de la sécurité des systèmes d’information (RSSI). Le décret 26-07 franchit l’étape suivante — passer du « nommer une personne » à « bâtir une équipe rattachée à la direction ».

Pourquoi le lien ASSI–ENSC est le détail opérationnel décisif

Le fait que l’ASSI fournisse aux étudiants de l’ENSC un accès à ses ressources et à son infrastructure est le paragraphe le plus sous-estimé du décret fondateur. Partout dans le monde, les programmes universitaires de cybersécurité peinent à offrir aux étudiants des environnements réalistes : SOC simulés, échantillons de logiciels malveillants en bac à sable, exercices de réponse à incident contre des techniques d’attaque modernes, recherche de vulnérabilités sur du matériel équivalent à la production. La plupart des universités se contentent d’exercices théoriques et de CTF, ce qui produit des diplômés capables de passer des certifications mais paralysés le premier jour sur le terrain.

Le partenariat ENSC–ASSI est structuré pour compenser ce décalage. L’ASSI est l’autorité opérationnelle nationale en matière de sécurité des systèmes d’information — elle observe de la télémétrie réelle, conduit des opérations défensives réelles et travaille sur les schémas de menaces qui frappent effectivement les organismes publics algériens. Des diplômés formés sur ce matériau arrivent dans une unité de cybersécurité prêts à travailler, et non prêts à être reformés.

Cet enjeu est d’autant plus important que le volume de recrutement induit par le décret 26-07 est considérable. L’Algérie compte des centaines d’organismes publics soumis à l’obligation lorsque l’on additionne ministères, administrations de wilaya, banques publiques, hôpitaux, opérateurs énergétiques et hydrauliques, autorités de transport, ports et universités. Si chacun constitue ne serait-ce qu’une petite unité — un responsable et deux à quatre analystes — le besoin cumulé se compte en milliers. L’ENSC ne produira pas ce volume dès la première année, ce qui explique l’importance de la voie professionnelle.

La couche professionnelle s’inscrit juste en dessous

L’ENSC est la voie ingénieur et chercheur. En dessous, l’Algérie élargit la voie opérateur. Le ministère de la Formation et de l’Enseignement professionnels a tenu une Conférence nationale pour le renforcement des capacités en cybersécurité au Cercle national de l’Armée à Beni Messous, le 12 février 2026, réunissant la ministre Naseema Arhab, le directeur général de l’ASSI le colonel Abdulsalam Belghoul et le responsable de l’Autorité nationale de protection des données personnelles. De nouveaux programmes qualifiants certifiants sont lancés avec le cycle de formation en cours, structurés autour de l’approche par compétences et intégrant des classes intelligentes et des outils de configuration à distance. Les ateliers de la conférence ont cartographié les besoins nationaux en compétences, l’actualisation des capacités techniques et le modèle de partenariat de mise en œuvre.

Cet appariement — ingénieurs issus de l’ENSC, techniciens issus des centres professionnels — est la structure sur laquelle s’appuie tout dispositif national de cybersécurité crédible. Le Royaume-Uni, la France, l’Estonie et Singapour reposent sur une organisation à deux voies comparable. L’Algérie installe désormais la même structure à un rythme soutenu. La référence Systelium citée plus haut (qui recense ESST, INSIM Oran et la National School of Cybersecurity comme socle de formation) est la première tentative publique de cartographier l’offre ; les inventaires plus granulaires suivront au fur et à mesure que l’année universitaire 2026–2027 prendra forme.

Ce que les RSSI d’organismes publics doivent faire maintenant

Les RSSI d’organismes publics et leurs partenaires RH sont les premiers acteurs à devoir disposer d’un plan concret. Le décret ne leur accorde pas une rampe pluriannuelle — il leur impose une obligation d’installation des unités, ce qui signifie que le recrutement démarre dans les deux prochains cycles, pas dans le prochain cycle budgétaire.

1. Construire la filière dès maintenant : aligner vos postes sur la production de l’ENSC, pas sur des fiches génériques

La plupart des équipes RH des organismes publics rédigeront des fiches de poste copiées sur des modèles génériques : « cinq ans d’expérience », « CISSP souhaitée », « expert SIEM ». Une telle description exclut par définition les nouveaux diplômés de l’ENSC, et le vivier senior nécessaire pour répondre à l’échelle du décret 26-07 n’existe pas. Reconstruisez les fiches autour de ce que les ingénieurs formés par l’ENSC et l’ASSI possèdent à la sortie : réponse à incident pratique sur l’infrastructure de l’ASSI, cryptographie appliquée, défense des réseaux face aux menaces actuelles. Associez chaque poste senior à un ou deux postes juniors que les diplômés de l’ENSC peuvent occuper directement. Mentionnez « diplômé de l’ENSC ou équivalent » comme qualification recevable — cette ligne unique ouvre la filière. Sans cette réécriture, les organismes publics passeront douze mois à se disputer une poignée de RSSI seniors et laisseront l’unité sous-staffée, lecture la plus défavorable d’un décret qui exige une unité opérationnelle, pas une simple unité sur le papier.

2. Verrouiller les places d’apprentissage avant la clôture des inscriptions 2026–2027

L’ENSC, comme toute école d’ingénieurs appliquée, place ses meilleurs étudiants par des stages structurés et des projets de fin d’études. Les organismes publics qui approchent l’école tôt dans le cycle 2026–2027 — au plus tard en septembre 2026 — peuvent négocier des conventions d’apprentissage multi-étudiants qui se convertissent directement en recrutements à la diplomation. Ceux qui attendront que l’échéance de mise en conformité du décret se rapproche se disputeront des diplômés déjà engagés ailleurs. La même logique vaut pour les centres de formation professionnelle qui élargissent les certificats de cybersécurité dans le cadre du programme de la ministre Arhab : un hôpital public qui signe une convention avec un centre régional dès aujourd’hui disposera d’un vivier de candidats opérateurs dans un an. Le coût aujourd’hui est administratif. Le bénéfice est une unité dotée à l’échéance plutôt qu’une obligation non honorée.

3. Bâtir deux échelles de carrière, pas une, pour correspondre à la production réelle de l’école

L’ENSC produira au fil du temps deux cohortes distinctes : des ingénieurs appliqués destinés à des fonctions opérationnelles, et des docteurs orientés vers une spécialisation plus poussée. Les unités de cybersécurité d’organismes publics qui ne construisent qu’une seule échelle technique perdront les chercheurs — ils rejoindront l’université, l’ASSI ou le secteur privé en deux ou trois ans. Concevez deux échelles parallèles à l’intérieur de l’unité : une voie opérationnelle (analyste → analyste senior → responsable SOC → chef d’unité) et une voie spécialiste (chercheur junior → chercheur appliqué → architecte → conseiller stratégique de la direction) avec des grilles salariales et des rythmes d’évolution comparables. Les organismes publics qui adoptent ce modèle conservent les profils approfondis qui réalisent la modélisation des menaces, l’évaluation des risques fournisseurs et le travail d’architecture qui distingue une véritable unité de cybersécurité d’une file de tickets.

4. Connecter l’unité à l’ASSI dès le premier jour — pas au premier incident

Le décret 26-07 impose un signalement immédiat des incidents aux autorités compétentes, et l’ASSI est l’autorité opérationnelle qui en recevra la majorité. Le bon moment pour établir la relation de travail est la phase de constitution de l’unité, pas 2 heures du matin pendant un incident en cours. Envoyez votre chef d’unité rencontrer l’ASSI lors d’une réunion de liaison structurée dès le premier mois. Convenez par écrit de la classification des incidents, des canaux de signalement et des chaînes d’escalade. Identifiez l’officier ASSI qui suivra votre secteur. Le partenariat de l’ENSC avec l’ASSI fait que de nombreux diplômés ont déjà des relations personnelles au sein de l’agence — utilisez-le comme critère délibéré de recrutement pour le chef d’unité lorsque c’est possible. L’unité qui dispose d’une ligne ASSI opérationnelle dès le premier jour traitera son premier incident avec compétence ; celle qui en est dépourvue passera son premier incident à chercher le bon numéro, mode de défaillance qui transforme un événement gérable en événement public.

Ce que cela donne dans l’écosystème cybersécurité algérien de 2026

Le couplage ENSC–décret 26-07 est la pièce la plus cohérente de la stratégie algérienne de main-d’œuvre cybersécurité à ce jour, parce qu’il traite l’offre et la demande dans un même instrument. Les décrets antérieurs, dont le décret présidentiel 20-05 imposant la nomination de RSSI, ont construit la couche du rôle nommé. La loi 18-07 a construit la couche protection des données. La stratégie numérique 2025–2030 a fixé la direction d’ensemble. Ce qui manquait jusqu’en 2026, c’était un mécanisme structurel pour former des ingénieurs à l’échelle et une obligation pour les absorber à la même échelle. L’ENSC fournit la première moitié ; le décret 26-07 fournit la seconde ; l’expansion professionnelle pilotée par le ministère de la Formation et de l’Enseignement professionnels complète la couche technicienne.

Les douze à dix-huit prochains mois diront si l’architecture tient. Trois signaux importent. Le premier, les volumes d’inscription et les profils de diplômés de l’ENSC — si l’école atteint un rythme de croisière au cycle 2026–2027 et que ses premières cohortes alimentent directement les unités des organismes publics, la filière fonctionne. Le deuxième, le taux de dotation des unités de cybersécurité dans les ministères et grandes entreprises publiques mesuré au regard des textes d’application du décret 26-07 — une unité qui existe sur le papier mais ne compte qu’un seul analyste n’est pas fonctionnellement une unité. Le troisième, la solidité du lien opérationnel ENSC–ASSI lui-même : exercices conjoints, recherche partagée et flux régulier de diplômés vers l’ASSI pour des rotations en début de carrière ancreraient le partenariat pour la décennie.

Pour les RSSI algériens, les directeurs RH d’organismes publics et les étudiants choisissant une filière cybersécurité, la conclusion pratique est la même. La plomberie institutionnelle existe désormais. Le prochain mouvement appartient à celles et ceux qui bâtiront leur unité, leur carrière ou leur promotion en s’y appuyant.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn

Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Questions Fréquemment Posées

Q : Que fait précisément l’ENSC en Algérie, et en quoi se distingue-t-elle des cursus universitaires existants en cybersécurité ?

L’ENSC est l’École Nationale Supérieure de Cybersécurité, située à Sidi Abdellah à Alger et placée sous la tutelle du ministère de l’Enseignement supérieur et de la Recherche scientifique. Son décret fondateur définit sa mission comme « la formation supérieure et la recherche en cybersécurité », formant des ingénieurs et des docteurs spécialisés. Elle se distingue des programmes hébergés dans des écoles d’ingénieurs généralistes parce que son partenariat opérationnel avec l’ASSI donne aux étudiants un accès pratique à une véritable infrastructure de cybersécurité, et non à des environnements théoriques.

Q : Que prévoit le décret présidentiel 26-07 pour les organismes publics algériens ?

Le décret 26-07, pris le 7 janvier 2026 et publié au Journal officiel le 21 janvier 2026, impose à chaque institution publique de constituer une unité de cybersécurité dédiée, rendant compte directement à la direction, opérant séparément de la gestion technique informatique. L’unité doit élaborer les politiques de cybersécurité, cartographier les risques, concevoir les plans de remédiation, assurer une surveillance et des audits continus, signaler immédiatement les incidents aux autorités compétentes et coordonner la protection des données à l’échelle de l’institution.

Q : Comment une équipe RH d’organisme public algérien doit-elle se préparer à recruter à l’ENSC ?

Réécrire les fiches de poste cybersécurité pour accepter la qualification « diplômé de l’ENSC ou équivalent », afin que les nouveaux diplômés puissent candidater au lieu d’être écartés par des exigences de cinq ans d’expérience copiées de modèles. Approcher l’ENSC pendant le cycle 2026–2027 pour négocier des conventions d’apprentissage multi-étudiants et des projets de fin d’études convertibles en embauche. Associer chaque poste senior de RSSI à deux ou trois postes juniors dimensionnés pour les nouveaux diplômés, et construire une échelle « recherche » parallèle pour retenir les docteurs dans le secteur public.